App Check-Erzwingung aktivieren

Wenn Sie wissen, wie sich App Check auf Ihre Nutzer auswirkt und Sie bereit sind, fortzufahren, können Sie die App Check Erzwingung aktivieren.

In den folgenden Schritten wird beschrieben, wie Sie die Erzwingung für Firebase AI Logic, SQL Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API und Places API (neu) aktivieren. Sobald Sie die Erzwingung für ein Produkt aktivieren, werden alle nicht verifizierten Anfragen an dieses Produkt abgelehnt.

  1. Rufen Sie in der Firebase Konsole Sicherheit > App Check auf.

  2. Maximieren Sie die Messwertansicht des Produkts, für das Sie die Erzwingung aktivieren möchten.

  3. Klicken Sie auf Erzwingen und bestätigen Sie Ihre Auswahl.

Es kann bis zu 15 Minuten dauern, bis die Erzwingung wirksam wird.

Schutz vor Wiederholungsangriffen (Beta)

Standardmäßig verwendet App Check Sitzungstokens mit einer konfigurierbaren Gültigkeitsdauer (Time-to-Live, TTL) zwischen 30 Minuten und 7 Tagen. Diese Sitzungstokens werden vom App Check SDK im Cache gespeichert, mit Anfragen aus Ihrer App gesendet und können bis zum Ablauf ihrer Gültigkeitsdauer wiederverwendet werden. Die Verwendung von Sitzungstokens gilt als Basisschutz.

Um den Schutz über den Basisschutz von App Check, hinaus zu verbessern, können Sie optional den Schutz vor Wiederholungsangriffen erzwingen. Wenn Sie den Schutz vor Wiederholungsangriffen erzwingen, passiert Folgendes:

  • App Check wird Anfragen an die geschützte API blockieren, dieSitzungstokens verwenden. Stattdessen App Check lässt nur Anfragen an die geschützte API zu, die ein neu erstelltes Token mit eingeschränkter Nutzung verwenden. Informationen zum Aktivieren der Verwendung von Tokens mit eingeschränkter Nutzung in Ihrer App finden Sie in der produktspezifischen Dokumentation.

  • Nachdem das Token mit eingeschränkter Nutzung verifiziert wurde, wird es verwendet, damit es nur einmal verwendet werden kann. So werden Wiederholungsangriffe verhindert.

  • Das App Check SDK generiert für jede Anfrage ein neues Token. Dieser Vorgang kann sich auf Ihre Anfragen auswirken, indem er die Latenz erhöht und manchmal Kosten verursacht (je nach Attestierungsanbieter).

So erzwingen Sie den Schutz vor Wiederholungsangriffen:

  1. Aktivieren Sie in der Codebasis Ihrer App die Verwendung von Tokens mit eingeschränkter Nutzung. Eine Anleitung finden Sie in der produktspezifischen Dokumentation:

  2. Rufen Sie in der Firebase Konsole Sicherheit > App Check auf.

  3. Maximieren Sie die Messwertansicht für die geschützte API.

  4. Achten Sie darauf, dass Basisschutz erzwungen wird, und klicken Sie dann auf Weiter.

  5. Wählen Sie für den Schutz vor Wiederholungsangriffen entweder Nicht erzwungen (nur Monitoring) oder Erzwungen aus.

    Beachten Sie Folgendes, um zu entscheiden, wann Sie den Schutz vor Wiederholungsangriffen erzwingen sollten:

    • Das Monitoring Ihrer Anfragen ist empfehlenswert, wenn eine erhebliche Anzahl Ihrer Nutzer wahrscheinlich ältere Versionen Ihrer App verwendet, in denen keine Tokens mit eingeschränkter Nutzung aktiviert sind. Wenn Sie den Schutz vor Wiederholungsangriffen sofort erzwingen, werden Anfragen dieser Nutzer blockiert.

    • Auf dem Tab Sicherheit > App Check > APIs der Firebase Konsole können Sie den Messwert Nicht verifiziert: Wiederverwendetes Token beobachten. Dieser Messwert gibt die Anzahl der Anfragen an, die ein Token enthalten, das bereits in einer früheren Anfrage verwendet wurde. Wenn ein erheblicher Teil der letzten Anfragen in diese Kategorie fällt, sollten Sie Nutzer nicht stören und warten, bis mehr Nutzer Ihre App aktualisiert haben, bevor Sie die Erzwingung aktivieren.